CI-Suchregeln zum Identifizieren von Konfigurationselementen aus Konfigurations-ComplianceIntegrationen von Schwachstellen von Drittparteien

  • Freigeben Version: Yokohama
  • Aktualisiert 30. Januar 2025
  • 3 Minuten Lesedauer

    • Wenn Daten aus einer Drittpartei-Integration importiert werden, Konfigurations-ComplianceVerwendet automatisch Hostdaten, um nach Übereinstimmungen in zu suchen Configuration Management Database (CMDB). Dies geschieht mit CI-Suchregeln . Diese Regeln werden verwendet, um Konfigurationselemente (CIs) zu identifizieren und dem Testergebnisdatensatz hinzuzufügen, um die Korrektur zu erleichtern.

    Wenn Assets importiert werden, wird zuerst eine Suche für durchgeführt Erkannte Elemente Listen Sie mithilfe von Drittpartei-IDs auf, um Übereinstimmungen mit Konfigurationselementen (CIs) aus vorherigen Importen zu finden. Wenn eine Host-ID-Übereinstimmung gefunden wird, wird sie als verwendet Konfigurationselement Feld im Testergebnisdatensatz.

    Sie können mithilfe von sehen, wie importierte Assets CIs zugeordnet werden Erkannte Elemente Liste. Wenn keine Übereinstimmung gefunden wird oder das Feld „cmdb_ci“ leer ist, verwenden die Regeln die anderen Hostinformationen, um zu versuchen, das CI korrekt zu identifizieren. Wenn immer noch keine Übereinstimmung gefunden wird, wird ein Platzhalter-CI erstellt und als festgelegt Nicht abgeglichenes CI . Siehe Nicht abgeglichene CIs Um weitere Informationen darüber zu erhalten, wie diese CIs behandelt werden.

    Ein neues erkanntes Element wird erstellt und diesem CI zugeordnet.

    Hinweis:
    CI-Suchregeln sind nur für verfügbar QualysIntegration für Sicherheitsvorgänge.
    CI-Suchregeln können domänengetrennt sein und quellspezifisch sind. Jede Quelle kann mehrere Bereitstellungen haben. Qualys können mehrere Bereitstellungen der Qualys-Integration haben. Jede Bereitstellung verfügt über einen eigenen Satz von CI-Suchregeln.
    Hinweis:
    CI-Suchregeln werden von allen Bereitstellungen der Schwachstellenintegration freigegeben. Wenn eine Regel gelöscht oder geändert wird, wirken sich die Löschung oder Änderungen auf alle Bereitstellungen der Schwachstellenintegration aus.
    Beim Versuch einer Übereinstimmung ist der erste Schritt eine Lieferanten-ID-Suche nach einer genauen Übereinstimmung für Quelle, Source_instance und Lieferanten-ID. Dann werden Suchregeln in der Reihenfolge ausgeführt, vom niedrigsten zum höchsten und stoppen, wenn eine Regel nur ein einzelnes CI als Übereinstimmung zurückgibt. Wenn eine Regel so erstellt wird, dass sie mehr als ein CI zurückgibt, wird nur die erste Übereinstimmung verwendet.
    Hinweis:
    Um einen Abgleich bei Netzwerkelementen niedriger Ebene zu vermeiden, wenn ein übereinstimmendes CI einer von ist Dscy_switchport , cmdb_ci_network_adapter , cmdb_ci_nic , Oder cmdb_ci_ip_address , Das übergeordnete CI wird zurückgegeben.

    Eine Systemeigenschaft zum Ausschließen von CI-Klassen ist verfügbar. Diese Eigenschaft ist mit Upgrade nicht verfügbar. Siehe CI-Klassen ignorierenFür Upgrade-Informationen und Anweisungen zum Festlegen der Eigenschaft.

    Um das Auffinden übereinstimmender Probleme zu erleichtern, wird die CI-Suchregel, die zum Auffinden verwendet wird, wenn eine Übereinstimmung gefunden wird, dem Datensatz des erkannten Elements in hinzugefügt CI-Übereinstimmungsregel Feld. Suchregeln werden nach den niedrigsten Werten ausgewertet Reihenfolge Wert zuerst.

    Einige von QualysCI-Suchregeln, die mit dem Basissystem geliefert werden, sind:
    • QUALYS-HOST-ID
    • FQDN
    • NetBIOS
    • DNS
    • IP
    Einige der Microsoft Defender-CI-Suchregeln, die mit dem Basissystem geliefert werden, sind:
    • S3-Bucket
    • Name
    • Ressourcen-ID
    Einige der mit dem Basissystem gelieferten Palo Alto Prisma Cloud-CI-Suchregeln sind:
    • S3-Bucket
    • Name
    • Ressourcen-ID

    Das Importieren von Testergebnisdaten kann eine Instanz belasten, und Leistungsprobleme mit Ressourcen können auftreten, wenn Regeln nicht sorgfältig erstellt werden. Die Logik, die zum Iterieren und Durchführen des Abgleichs innerhalb von verwendet wird CMDBKann zu langen Verarbeitungszeiten führen. Um eine potenzielle Verschlechterung von Ressourcen oder Leistungskomplikationen zu vermeiden, testen Sie anwenderdefinierte CI-Suchregeln oder Änderungen an vordefinierten CI-Suchregeln . Siehe Schritte zur Verhinderung doppelter oder verwaister Datensätze nach der Ausführung Vulnerability ResponseCI-SuchregelnWeitere Informationen zum verhindern doppelter verwaister Datensätze, zum Löschen von Daten und zum Bereinigen von Daten.

    Aktualisierte CI-Suchregeln werden erneut angewendet

    Wenn Sie eine CI-Suchregel ändern, klicken Sie auf Änderungen Anwenden Auf der Listenseite „CI-Suchregeln“, um alle Regeln für die erkannten Elemente erneut auszuführen, die:
    • Wurden mit den aktualisierten Regeln abgeglichen
    • Werden von keiner Regel abgeglichen
    Wenn sich das Konfigurationselement (CI) nach erneuter Anwendung der Suchregeln ändert, werden die erkannten Elemente mit dem neuen CI aktualisiert. Die Testergebnisse werden ebenfalls aktualisiert. Weitere Informationen finden Sie unter CI-Changes für erkannte Elemente für Konfigurations-Compliance.